Que el sector financiero es uno de los que más invierte en ciberseguridad es una realidad que a nadie se le escapa. Y que, esto se produce porque es uno de los sectores más afectados por el ciberfraude, es igualmente conocido. Pero que el Banco Central Europeo, con Mario Draghi a la cabeza, estuviera especialmente preocupado por el nivel de preparación de las entidades financieras europeas para hacer frente a las amenazas de ciberseguridad quizás ya no fuera vox populi.

Sin embargo, así es. Durante los últimos meses, las entidades financieras europeas han tenido que dar respuesta a un cuestionario (extensísimo) enviado por el BCE en el que se interesaba por cuestiones como qué mecanismos tienen las entidades para prevenir que un usuario interno o externo malintencionado pueda robar datos de clientes o qué medidas existen para detectar intentos de ataques. E incluso, y esto ha sido lo que más nos ha llamado la atención dado que afecta directamente a la actividad que realiza LEET Security, qué mecanismos de control están adoptando para asegurar que los proveedores externos cumplen con las medidas de seguridad estipuladas por dichas entidades en la prestación de sus servicios y no sólo en el momento de la toma de decisión de selección del proveedor, sino durante toda la vida del servicio.

Para LEET Security, esta preocupación del BCE sobre los mecanismos de supervisión de proveedores supone la constatación de una circunstancia que venimos detectando en nuestras reuniones con estas mismas entidades financieras: La percepción de dependencia en temas de seguridad con los proveedores es muy alta y cada vez existen más entidades interesadas en adoptar mecanismos que aseguren que sus proveedores cumplen con los requisitos de seguridad establecidos en los contratos.

No obstante, abordar esta problemática supone un reto muy difícil de salvar si, al igual que pedimos a los reguladores, no realizamos un ejercicio de armonización, puesto que lo que también es impensable es que cada cliente requiera de mecanismos de validación diferentes de unos requisitos de seguridad que en el fondo son muy similares (es decir, que cada cliente audite de manera independiente a un mismo proveedor), no solo por el coste que esto supone sino por la ineficacia del modelo.

Y es aquí precisamente donde pensamos que la calificación de LEET Security aporta más, puesto que la adopción de un modelo común de #securityrating (posible gracias a la versatilidad de los cinco niveles en las tres dimensiones) permite que una única validación pueda ser utilizada por múltiples clientes.

En definitiva, pensamos que un modelo en el que las entidades financieras solicitan a sus proveedores de servicios se califiquen conforme a una métrica común puede ayudar, por una parte, a demostrar al BCE la preocupación existente por asegurar un nivel de seguridad adecuado en toda la cadena de suministro y, por otra, a simplificar y racionalizar el propio proceso de supervisión.

Puedes seguirnos en twitter.com/leet_security

1 de julio de 2015